O plano inicial da Autoridade Nacional das Comunicações (Anacom) previa para o final de 2013 as primeiras auditorias de segurança às redes dos operadores de telecomunicações – mas essa previsão nunca chegou a concretizar-se. Nenhuma das auditorias que a entidade reguladora deveria ter feito de acordo com a alteração à lei das comunicações eletrónicas de 2011 chegou a ser feita. O plano plurianual de 2015 previa novamente a realização de auditorias até ao final do presente ano, mas essa meta também não vai ser cumprida.
Num e-mail, fonte institucional da Anacom justifica o atraso com «constrangimentos ao nível da dotação dos recursos necessários para prosseguir essa atividade; a necessidade de concretizar outras ações (Sistema de Informação Centralizado) e de dar resposta a outras solicitações entretanto surgidas, e a necessidade de desenvolver uma visão integrada das diversas facetas desta questão, o que foi reforçado com a publicação dos novos estatutos».
Ao que a Exame Informática apurou, a direção responsável pelas auditorias tem um número de profissionais reduzido – e essa escassez terá ficado especialmente notória durante a implementação do Sistema de Informação Centralizado (SIC), que funciona como um cadastro das condutas e demais infraestruturas das redes de telecomunicações. Desde o início do processo, em 2010, que o SIC assumiu um caráter prioritário face às auditorias de segurança, devido à legislação em vigor que definia prazos máximos para a implementação do sistema que cadastra as redes de telecomunicações.
Num comunicado publicado no respetivo site em novembro de 2013, a Anacom justifica o atraso na implementação do SIC devido aos processos interpostos na justiça que visavam suspender ou mesmo impugnar o concurso. Apenas no final de 2014 ficou sanada a disputa nos tribunais, anunciando a Anacom que seria a Ambisig a implementar o SIC. Na entidade reguladora, há a expectativa de que a implementação do SIC fique concluída no início de 2016.
Além da questão da escassez de recursos e da implementação do SIC, há mais um terceiro fator que contribuiu para o atraso das auditorias: a Anacom optou por só avançar com as inspeções periódicas das redes depois de proceder a uma alteração de estatutos (prevista por legislação recente), que clarifica quais as competências da entidade reguladora no que toca à segurança das redes de telecomunicações.
A reguladora das telecomunicações não adianta qualquer previsão no que toca à data de início das auditorias das redes dos operadores. Boa parte da resposta a essa questão está dependente da data em que será lançada a consulta pública, da participação e dos contributos que vier a registar, e dos prazos de análise e produção de relatórios que forem fixados entretanto.
Auditorias sem prazo
Em setembro de 2011, o Diário da República publica uma alteração à Lei das Comunicações Eletrónicas que atribui à Anacom a responsabilidade pela realização de auditorias de segurança às redes dos operadores. Passado um ano, outra alteração legislativa que versa sobre a Privacidade também atribui à Anacom a realização de auditorias de segurança no que toca à violação de dados pessoais. As leis não definem datas nem prazos máximos. A periodicidade das auditorias só deverá ficar definida depois de analisados os diferentes contributos recolhidos durante a consulta pública que deverá ser lançada nos próximos tempos.
Além de criarem um mecanismo capaz de detetar atempadamente vulnerabilidades que podem ser exploradas pelos denominados hackers, as auditorias têm o propósito de levar à prática as linhas de orientação técnica elaboradas pela ENISA (a Agência Europeia de Segurança das Redes e da Informação).
«O resultado da realização de auditoria é, numa primeira fase a elaboração de um relatório pela equipa auditora e, num segundo momento, a elaboração de um plano de resposta às não conformidades constantes daquele relatório, pela empresa auditada», explica a Anacom, quando questionada sobre o tipo de procedimentos contemplados pelas auditorias.
A Anacom nega haver renitência por parte dos operadores quanto à realização de auditorias: «Tem havido muito boa cooperação entre a Anacom e os operadores, designadamente com a Apritel (a Associação de Operadores de Telecomunicações), em matéria de notificações, e este é um modelo que se pretende replicar para as auditorias».
Ao contrário das auditorias às redes de telecomunicações, a Anacom conseguiu pôr em funcionamento o Centro de Reporte de Notificações nas redes de telecomunicações durante o ano de 2013. De acordo com a legislação em vigor, os operadores são obrigados a enviar para este Centro notificações com a descrição das ocorrências (falhas, ataques, avarias, más configurações, erros, etc.) que afetam os serviços de telecomunicações. Os regulamentos definem ainda as características técnicas, graus de gravidade, e as circunstâncias em que uma ocorrência tem de ser obrigatoriamente comunicada ao Centro de Reportes.
